È richiesto un codice di hash per legge negli Stati Uniti o altrove? Se non richiesto dalla legge, ci sono conseguenze legali se le password non violate vengono rubate?
Se non richiesto negli Stati Uniti, ma richiesto nell'UE, è possibile legalmente fare affari nell'UE senza password di hashing?
Penso che sia richiesto da diversi standard di sicurezza / governance, come PCI, NIST e SOX.
Quindi, se conservi le tue password in chiaro, non puoi superare queste certificazioni e di conseguenza potresti finire in tribunale.
A meno che tu non abbia un requisito molto specifico per non averli hash, li hash, è semplice e ti copre le spalle se succede qualcosa in cui potrebbero essere trapelati i dati. Ci sono implementazioni abbastanza semplici da rendere necessaria una quantità irragionevole di tempo per decifrare una tabella di password, per non parlare di una quantità di tempo stupenda per crearne una.
Generalmente: non ti metteresti nei guai per non averli eliminati, ti troverai nei guai se dovesse trapelare.
Dipende da cosa stai proteggendo. Se si tratta di informazioni personali sensibili, informazioni sulla carta di credito o simili, è necessario proteggerle in modo appropriato. Memorizzare le password in chiaro non sarebbe appropriato in questi casi!
I requisiti di protezione delle carte di credito sono globali (PCI-DSS), le leggi sulla protezione dei dati esistono in Europa, negli Stati Uniti e in altre regioni, ad esempio DPA 1998 nel Regno Unito. Negli Stati Uniti, Gramm-Leach-Bliley Act protegge le informazioni finanziarie personali; Fair Credit Reporting Act protegge le informazioni sulla storia del credito; La legge sulla portabilità e responsabilità delle assicurazioni sanitarie protegge le informazioni sulla salute.
Inoltre, leggete il post sul blog di Thomas Pornin su questo - Perché le password devono essere sottoposte a hash : ciò fornirà una visione più approfondita.
If not required by law, are there legal ramifications if unhashed passwords are stolen?
Questa affermazione è qualcosa di un ossimoro.
IME (IANAL) quasi ogni paese ha un concetto legale di obbligo di diligenza . Quindi, anche in assenza di una legislazione specifica riguardante le password, sei responsabile della gestione di tutti i dati che archivi. Ciò tuttavia sposta la questione dal diritto penale al diritto civile (laddove si applicano tali distinzioni).
Non c'è nulla nelle leggi sulle password di hashing.
L'unico requisito è la conservazione di password o dati che consentono di controllarli o modificarli.
Aggiornamento:
Hashing è un dettaglio di implementazione (di qualcosa che non è stato nemmeno formulato in questione).
Sicuramente sarei molto sorpreso se qualche legge avesse stabilito dettagli tecnici di implementazione e realizzazione di qualsiasi principio
Update2:
"È c'è qualche motivo legale per salvare una password in chiaro? " qui, sulla stessa scheda, viene discusso il requisito FCC degli Stati Uniti per memorizzare le password in testo chiaro
Leggi altre domande sui tag legal password-management hash